Private Nutzungsdaten aufgrund von Apple-Schwachstelle in Gefahr

Lange Zeit galten Apple-Geräte nicht nur in Sachen technischer Leistung, sondern auch hinsichtlich ihrer Sicherheit als Vorreiter. Doch immer häufiger gelangen frappierende Sicherheitslücken an die Öffentlichkeit, die spezifische Schwachstellen der Apple-Produkte ausnutzen. Ein Team aus Sicherheitsforschern machte jetzt eine neue Schwachstelle ausfindig, welche es als iLeakage bezeichnet. 

Vom Problem betroffen sind sämtliche Apple-Geräte, in welchen Prozessoren der A- und M-Serie verbaut wurden. Das betrifft nahezu sämtliche Geräte, auf denen die Betriebssysteme iOs oder macOS laufen, schreibt das Portal Ars Technica.

So einfach können Dritte an Passwörter und E-Mails gelangen

Auf einer Aufklärungswebsite zur Sicherheitslücke erläutern die Forscher, wie böswillige Akteure an sensible Daten gelangen könnten. So beleuchten drei kurze Videos, wie die automatisch durch einen Passwortmanager ausgefüllten Login-Daten von Instagram, die Betreffzeilen diverser E-Mails in einem Gmail-Konto oder auch die Wiedergabeliste eines YouTube-Kontos erfolgreich abgerufen werden konnten.

(Anmerkung der Redaktion: Das Video, welches das Abgreifen der Instagram-Login-Daten zeigt, wurde aufgrund von Verstößen gegen die YouTube-Richtlinien mittlerweile offline genommen.) 

Die konkrete Schwachstelle ist dabei ein sogenannter Seitenkanalangriff: Durch eine manipulierte Website emulieren die Hacker dabei quasi die Prozesse, die das Opfer gerade ausführt. Bei einem sicheren System würde aufgrund der Prozessisolierung für jede Seite ein neuer Prozess gestartet. Wie die Forscher jedoch feststellten, öffnet der Apple-Browser Safari bei Eingabe des Javascript-Befehls „window.open()“ ein weiteres Fenster innerhalb des gleichen Prozesses.

Das sollten Apple-Nutzer:innen jetzt beachten

Auf seiner Informationsseite beantwortet das Forscherteam die wichtigsten Fragen zum Thema. Grundsätzlich sollten alle Nutzer:innen von Apple-Geräten davon ausgehen, betroffen sein zu können. Zwar betrifft das Problem in erster Linie die Nutzung des Safari-Browsers, jedoch schützt auch die Nutzung eines anderen Browser nicht unbedingt. 

So laufen dank gewisser Regulierungen des App-Stores auch Drittbrowser auf dem Smartphone über die Javascript-Engine von Safari. Auf dem Mac kann die Nutzung eines anderen Browsers dagegen bereits Abhilfe schaffen. Zudem sollten Nutzer:innen stets auf aktuelle Sicherheitsupdates ihres Betriebssystems sowie Browsers achten.

Das Forscherteam betont jedoch auch, dass die iLeakage-Schwachstelle hoch-hypothetisch ist. Um sie tatsächlich auszunutzen, müssten die Hacker:innen über jahrelange und hochspezifische technische Expertise verfügen. Die Wahrscheinlichkeit, tatsächlich Opfer eines iLeakage-Angriffs zu werden, ist daher extrem gering, aber dennoch vorhanden.

Apple bestätigt Lücke und arbeitet an Updates

Ganz neu ist das Prinzip, auf dem iLeakage basiert, jedoch nicht. Die Art und Weise, über einen Seitenkanal auf Prozessordaten zuzugreifen, machten sich bereits die beiden größeren Lücken Spectre und Meltdown zunutze, welche 2018 ans Licht kamen. Zwar wurde die beiden konkreten Probleme mittlerweile durch jeweilige Patches behoben, die Grundproblematik stellt aber weiterhin ein Risiko dar. 

Ein Apple-Sprecher bestätigte gegenüber Ars Technica, dass dem Unternehmen die Schwachstelle bekannt ist und ein Update zur vollständigen Behebung bereits in Arbeit sei.